اختر منطقتك 
تستخدم مجموعة Lazarus Group الكورية الشمالية للقرصنة نوعًا جديدًا من البرامج الضارة “المعقدة” كجزء من عمليات الاحتيال الخاصة بالتوظيف الوهمي – والتي يحذر الباحثون من أن اكتشافها أكثر صعوبة بكثير من سابقتها.
وفقًا لمنشور بتاريخ 29 سبتمبر من بيتر كالناي، كبير باحثي البرامج الضارة في ESET، أثناء تحليل هجوم وظيفي وهمي مؤخرًا ضد شركة طيران مقرها إسبانيا، اكتشف باحثو ESET بابًا خلفيًا غير موثق علنًا يسمى LightlessCan.
#ESET وكشف الباحثون عن النتائج التي توصلوا إليها بشأن هجوم شنته كوريا الشمالية #ملائم مجموعة #لعازر التي استهدفت شركة طيران في إسبانيا.
◀️ اكتشف المزيد في أ #WeekinSecurity فيديو مع @TonyAtESET. pic.twitter.com/M94J200VQx
– إسيت (@ESET) 29 سبتمبر 2023
عادةً ما تتضمن عملية احتيال الوظائف المزيفة التي تقوم بها مجموعة Lazarus Group خداع الضحايا بعرض محتمل للعمل في شركة معروفة. يقوم المهاجمون بإغراء الضحايا بتنزيل حمولة ضارة متنكرة في شكل مستندات لإحداث جميع أنواع الضرر.
ومع ذلك، يقول كالناي إن حمولة LightlessCan الجديدة تمثل “تقدمًا كبيرًا” مقارنة بسابقتها BlindingCan.
“يحاكي LightlessCan وظائف مجموعة واسعة من أوامر Windows الأصلية، مما يتيح التنفيذ السري داخل RAT نفسه بدلاً من عمليات تنفيذ وحدة التحكم الصاخبة.”
وقال: “يوفر هذا النهج ميزة كبيرة من حيث التخفي، سواء في التهرب من حلول المراقبة في الوقت الحقيقي مثل سجلات EDR، أو أدوات الطب الشرعي الرقمية بعد الوفاة”.
️♂️ احذر من مسؤولي التوظيف المزيفين على LinkedIn! اكتشف كيف استغلت مجموعة لازاروس شركة طيران إسبانية من خلال تحدي البرمجة التروجانسية. تعمق في تفاصيل حملة التجسس الإلكتروني الخاصة بهم في أحدث أخبارنا #نحن نعيش_الأمن شرط. #ESET #ProgressProtected
– إسيت (@ESET) 29 سبتمبر 2023
تستخدم الحمولة الجديدة أيضًا ما يسميه الباحث “حواجز حماية التنفيذ” – مما يضمن أنه لا يمكن فك تشفير الحمولة إلا على جهاز الضحية المقصود، وبالتالي تجنب فك التشفير غير المقصود من قبل الباحثين الأمنيين.
قال كالناي إن إحدى الحالات التي تضمنت البرامج الضارة الجديدة جاءت من هجوم على شركة طيران إسبانية عندما تلقى أحد الموظفين رسالة من مسؤول توظيف مزيف يدعى ستيف داوسون في عام 2022.
وبعد فترة وجيزة، أرسل المتسللون تحديين بسيطين للبرمجة مضمنين في البرامج الضارة.
وأضاف أن التجسس الإلكتروني كان الدافع الرئيسي وراء هجوم مجموعة لازاروس على شركة الطيران الإسبانية.
متعلق ب: 3 خطوات يمكن لمستثمري العملات المشفرة اتخاذها لتجنب الاختراقات التي تقوم بها مجموعة Lazarus Group
منذ عام 2016، سرق المتسللون الكوريون الشماليون ما يقدر بنحو 3.5 مليار دولار من مشاريع العملات المشفرة، وفقًا لتقرير صدر في 14 سبتمبر من قبل شركة التحاليل الجنائية blockchain Chainalogy.
في سبتمبر 2022، حذرت شركة الأمن السيبراني SentinelOne من عملية احتيال وظيفية مزيفة على LinkedIn، حيث عرضت على الضحايا المحتملين وظيفة في Crypto.com كجزء من حملة أطلق عليها اسم “Operation Dream Job”.
وفي الوقت نفسه، تحاول الأمم المتحدة الحد من تكتيكات الجرائم الإلكترونية التي تتبعها كوريا الشمالية على المستوى الدولي – حيث من المفهوم أن كوريا الشمالية تستخدم الأموال المسروقة لدعم برنامجها الصاروخي النووي.
مجلة: 3.4 مليار دولار من البيتكوين في علبة الفشار: قصة قراصنة طريق الحرير
